21-24 Ekim 2025 tarihleri arasında İrlanda’nın Cork şehri, Zero Day Initiative (ZDI) tarafından düzenlenen yıllık canlı hackleme yarışması Pwn2Own Ireland 2025’e ev sahipliği yaptı. Dünyanın dört bir yanından siber güvenlik araştırmacıları, üç gün boyunca ev yönlendiricileri, NAS cihazları, yazıcılar ve WhatsApp gibi mesajlaşma uygulamaları da dahil olmak üzere cihaz, hizmet ve sistemleri ihlal etmeye çalıştı. Bunun karşılığında araştırmacılar büyük para ödülleri aldılar.
Aşağıda olup bitenlerin, kimin başarılı olduğunun ve bu yılki yarışmadan bazı önemli çıkarımların günlük dökümü yer almaktadır.
1. Gün: 21 Ekim
İlk gün güçlü bir ivmeyle açıldı. ZDI, 17 istismar girişiminin planlandığını ve dikkat çekici bir şekilde o gün herhangi bir başarısızlık yaşanmadığını duyurdu. 34 benzersiz sıfır gün güvenlik açığı için toplam 522.500 ABD Doları ödül verildi.
Öne çıkanlar arasında:
- Neodyme Ekibi, yığın tabanlı arabellek taşması kullanarak HP DeskJet 2855e yazıcıdan yararlanarak 20.000 ABD doları ve 2 “Master of Pwn” puanı kazandı.
- STARLabs, yığın taşması yoluyla Canon imageCLASS MF654Cdw yazıcıyı hedef aldı ve ayrıca 20.000 ABD doları ve 2 puan kazandı.
- Synacktiv, 40.000 ABD Doları ve 4 puan talep ederek Synology BeeStation Plus NAS üzerinde kök kod yürütmeyi başardı.
- DDOS Ekibi, bir QNAP QHora-322 yönlendiricisini tehlikeye atmak ve ardından SOHO “Smashup” kategorisindeki bir QNAP TS-453E NAS cihazına dönmek için birden fazla enjeksiyon kusuru da dahil olmak üzere sekiz farklı hata kullanarak bir yararlanma zinciri oluşturdu. Bu giriş için 100.000 ABD Doları ve 10 puan kazandılar.
2. Gün: 2 Ekim2
İkinci gün ZDI, araştırmacıların yazıcılardan ve NAS sistemlerinden akıllı ev donanımına geçmesiyle katılımcıların zaten yarım milyon dolardan fazla ödül kazandığını bildirdi; bu da neredeyse her bağlı cihazın hedef olabileceğini gösterdi.
Hakkında çok konuşulan bir milyon dolarlık WhatsApp mücadelesine dokunulmadı, ancak başarılı hacklemeler dizisi, günlük akıllı cihazların kötü niyetli üçüncü taraflarca kullanılması durumunda nasıl hacklenebileceğini gösterdi.
Önemli kazanımlardan bazıları şunlardı:
- PHP Hooligans, Canon imageCLASS MF654Cdw yazıcıyı sınır dışı yazma yoluyla kullanarak 10.000 ABD doları ve 2 puan kazandı.
- Viettel Cyber Security, bir Ev Otomasyonu Yeşil cihazından yararlanmak için iki hata çarpışmasıyla birlikte bir komut enjeksiyonu kullandı ve 12.500 ABD Doları ve 2,75 puan kazandı.
- Qious Secure, Philips Hue Bridge’i tehlikeye atmak için iki hatayı eşleştirdi; yalnızca bir hata benzersiz olmasına rağmen yine de 16.000 ABD doları ve 3,75 puan topladılar.
- CyCraft Technology, QNAP TS-453E NAS’tan yararlanmak için tek bir kod ekleme hatası kullanarak 20.000 ABD Doları ve 4 puan kazandı.
3. Gün: 23 Ekim
Son blog gönderisine göre, 3. Gün itibarıyla 73 benzersiz sıfır gün hatası için toplam ödeme 1.024.750 ABD Dolarına ulaştı. Öne çıkan bazı anlar şöyle:
- Interrupt Labs’tan bir ekip, Samsung Galaxy S25 akıllı telefonun kontrolünü ele geçirmek için uygunsuz bir giriş doğrulama hatası kullandı; ödül 50.000 ABD Doları ve 5 puandı.
- Synacktiv, Ubiquiti AI Pro gözetim sisteminden yararlanmak için iki hata kullandı ve 30.000 ABD doları ve 3 puan kazandı.
- Çağırma Ekibi (Sina Kheirkhah liderliğindeki), QNAP TS-453E’den yararlanmak için sabit kodlu bir kimlik bilgisi artı enjeksiyonunu başarıyla kullanarak 20.000 ABD Doları ve 4 puan kazandı.
- Birkaç başvuru geri çekildi veya çarpışma olarak kabul edildi (yani, önceden kaydedilmiş kusurları yeniden kullanan hata zincirleri), ancak yine de indirimli ödüller kazandılar. Örneğin, Philips Hue Bridge’deki bir istismar, çarpışmaya rağmen 17.500 ABD doları kazandırdı. (Sıfır Gün Girişimi)
3. Günün sonunda organizatörler yarışmanın sona erdiğini ve son “Pwn Ustası” unvanının Çağıran Takıma verildiğini duyurdu.
Anahtar çıkarımlar
- WhatsApp’ın sıfır tıklamayla başarılı bir şekilde kullanılmasının nakit ödülü 1.000.000 ABD Dolarına ulaştı ve bu, yarışma tarihindeki en büyük tek hedef oldu (ancak bu kategorinin kazananı kamuya açıklanmadı).
- Yazıcılardan ve NAS cihazlarından akıllı ev merkezlerine ve akıllı telefonlara kadar hedeflerin çeşitliliği, ne kadar çok sayıda bağlı ekipmanın hala ciddi risklere maruz kaldığını gösteriyor.
- Başarılı saldırıların çoğu “çarpışma” hatalarını (yani, yarışmada daha önce kullanılanlara benzer veya aynı güvenlik açıkları) içeriyordu. Hâlâ ödüllendirilseler de, bunlar daha az para kazandırıyor ve (en azından araştırmacılar için) halihazırda ne kadar çok zayıflığın bilindiğini gösteriyor.
- Yarışma, organize, kamuya açık güvenlik açığı açıklama çabalarının değerini güçlendirdi: Katılan satıcılar, gerçek dünyadaki kötü niyetli aktörler onları istismar etmeden önce sistemleri yamalayabilmeleri için erken uyarı alıyor.
Son düşünceler
Pwn2Own Ireland 2025, yönlendiriciler, yazıcılar ve akıllı ev sistemleri gibi sıradan cihazların bile doğru teknik anlayışla ihlal edilebileceğini bir kez daha gösterdi. Bunun gibi etkinlikler, teknolojiyi güvende tutmak için koordineli araştırma ve açıklamanın neden gerekli olduğunu vurguluyor.
Büyük ödül havuzu hem araştırmacıların hem de sektörün bu riskleri ne kadar ciddiye aldığını gösterdi. Ve Çağırma Ekibi’nin Pwn Ustası olarak taçlandırılmasıyla etkinlik büyük bir ilgiyle ve izleyen herkes için birkaç dersle sona erdi.
Not: Yarışmanın resmi olarak İrlanda’nın Cork kentinde 21-24 Ekim tarihleri arasında yapılması planlandı, ancak tüm canlı hackleme turları 23 Ekim’de tamamlandı. Son gün, idari toparlama ve kapanış faaliyetleri için ayrıldı.